实际上如果任何用户在没有事先登录的情况下使用任何URL,应用程序应重定向到登录页面,一旦用户登录并想要访问管理员相关链接,如果登录用户不属于管理员组,则应拒绝管理员。
我正在使用以下代码
<intercept-url pattern="/login**" access="permitAll" />
<intercept-url pattern="/**" access="hasRole('ROLE_READER')" />
<intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')" /
但是当属于ROLE_READER角色的用户也能够访问管理员链接时。 我努力但却无法摆脱这个问题。 如果有人可以提供任何指针,那将会很棒。